바이낸스 안드로이드 APK 진위 확인 방법은? 다운로드 후 서명부터 확인하고 로그인하기

안드로이드 사용자가 바이낸스 APK를 다운로드할 때 가장 두려운 것은 피싱 버전을 설치하는 것입니다. 해결책은 사실 매우 간단합니다. 서명 검증을 먼저 한 다음 계정에 로그인하는 것입니다. 바이낸스 공식 사이트에서 공식 APK를 받거나, 바이낸스 공식 앱 링크를 통해 다운로드 페이지로 바로 이동할 수 있습니다. iPhone 사용자는 APK를 신경 쓸 필요 없이 iOS 설치 가이드에 따라 설치하면 됩니다. 이 글에서는 세 가지 방법을 교차 사용하여 APK가 정말 바이낸스에서 제공한 것인지 검증하는 방법을 알아봅니다.

1. 공식 APK의 세 가지 고정된 특징

버전이 어떻게 업데이트되든, 바이낸스 공식 APK는 항상 다음 세 가지 특징을 만족합니다:

1. 패키지 이름(Package Name): com.binance.dev
2. 서명자(Signer): CN=Binance Holdings Ltd, O=Binance, ...
3. V2/V3 서명 인증서의 SHA-256 지문: 64자리 16진수 문자열로, 바이낸스 고객센터에서 현재 유효한 지문을 공지합니다.

이 중 하나라도 부합하지 않으면 공식 APK가 아닙니다. 아래에서 명령줄, 모바일 앱, 해시 대조를 통해 이 세 가지를 검증하는 방법을 각각 설명합니다.

2. 방법 1: PC에서 apksigner로 검증하기 (가장 확실함)

apksigner는 Android SDK에 내장된 공식 서명 검증 도구이며, Java 환경이 구축된 사용자에게 적합합니다.

설치 단계

1. Android SDK Command-line Tools 다운로드: https://developer.android.com/studio#command-tools
2. 압축을 푼 후 cmdline-tools/latest/bin 경로를 환경 변수(PATH)에 추가합니다.
3. 명령줄에서 sdkmanager "build-tools;34.0.0"을 실행하여 build-tools를 설치합니다.
4. 최종적으로 apksigner가 build-tools/34.0.0/ 디렉터리 내에 생성됩니다.

검증 명령어

apksigner verify -v --print-certs Binance.apk

정상적인 출력 예시:

Verified using v1 scheme (JAR signing): true
Verified using v2 scheme (APK Signature Scheme v2): true
Verified using v3 scheme (APK Signature Scheme v3): true
Signer #1 certificate DN: CN=Binance Holdings Ltd, O=Binance, L=Malta, C=MT
Signer #1 certificate SHA-256 digest: a1b2c3...（16진수 문자열）

반드시 확인해야 할 세 가지:

• Verified using v2 scheme: true 및 Verified using v3 scheme: true가 모두 true여야 합니다.
• certificate DN에 반드시 Binance Holdings Ltd가 포함되어야 합니다.
• SHA-256 지문이 바이낸스 공식 공지 값과 반드시 일치해야 합니다.

어느 하나라도 맞지 않는다면 즉시 APK를 삭제하고 절대 설치하지 마세요.

3. 방법 2: 모바일 서명 뷰어로 확인하기 (가장 편리함)

이미 의심스러운 APK를 설치했거나 PC를 켜기 번거롭다면, 모바일에서도 서명을 조회할 수 있습니다. 두 가지 앱을 추천합니다:

• App Signature Checker (Google Play의 개발자 Infinite Loop 버전)
• Apk Info (오픈소스, F-Droid에서 설치 가능)

Apk Info를 예로 들면:

1. 앱을 열고 "설치된 앱 읽기" 권한을 허용합니다.
2. Binance를 검색하여 상세 정보로 들어갑니다.
3. 맨 아래로 스크롤하여 "Signatures" 섹션을 확인합니다.
4. 인증서의 Subject 필드에 Binance Holdings Ltd가 표시되어야 합니다.
5. 인증서의 SHA256 Fingerprint가 공식 공지 값과 일치해야 합니다.

모바일 검증의 장점은 30초 만에 끝날 정도로 빠르다는 점이며, 단점은 조회 도구 자체의 신뢰도에 의존한다는 점입니다. 이러한 서명 조회 앱은 반드시 Google Play나 F-Droid에서 다운로드해야 하며, 출처를 알 수 없는 경로로 설치해서는 안 됩니다.

4. 방법 3: SHA-256 해시 대조 (가장 간단함)

이는 "파일이 변조되었는가"를 검증하는 가장 기본적인 방법으로, 안드로이드 지식이 없어도 할 수 있습니다.

APK의 SHA-256 추출하기

PowerShell (Windows):

Get-FileHash Binance.apk -Algorithm SHA256

터미널 (macOS/Linux):

shasum -a 256 Binance.apk

출력 결과는 64자리 16진수 문자열입니다.

공식 공지 해시 얻기

binance.com에 로그인 → 고객센터 → "APK hash" 또는 "APK 검증" 검색. 공식 공지 페이지에 현재 버전 APK의 SHA-256 값이 나열되어 있습니다. 여러분의 해시가 공식 값과 일치한다면, 파일이 변조되지 않은 원본 공식 APK임을 의미합니다.

주의: 해시 대조는 "파일이 변조되지 않았음"만 증명할 뿐, "이것이 공식 파일임"을 영구히 보장하지는 않습니다. 버전이 바뀔 때마다 해시도 바뀌기 때문입니다. 가장 이상적인 방식은 해시 대조 + 서명 검증이라는 이중 보안을 거치는 것입니다.

5. 서명 검증에 실패할 때의 몇 가지 상황

상황 1: 서명자가 Binance Holdings Ltd가 아님

가장 심각한 상황입니다. APK를 다른 누군가가 재서명했다는 의미입니다. 원래 코드가 바이낸스의 것이라 할지라도 공격자가 패키징 과정에서 악성 코드를 삽입했을 수 있습니다(예: 클립보드 복사 주소 하이재킹, 2FA 인증번호 탈취). 즉시 삭제하고 다른 출처에서 다시 다운로드하세요.

상황 2: v1 서명은 통과하지만 v2/v3는 실패함

이 경우 APK가 Janus 취약점 공격(CVE-2017-13156)을 받았을 수 있습니다. v1 서명을 유지하면서 추가 DEX 파일을 삽입하는 전형적인 피싱 수법 중 하나입니다. 이 역시 즉시 삭제해야 합니다.

상황 3: SHA-256이 불일치하지만 서명은 유효함

가장 흔한 이유는 다운로드한 파일이 구버전이고, 공식 해시는 이미 업데이트되었기 때문입니다. 바이낸스 공식 사이트로 돌아가 최신판 APK를 다운로드하고 다시 대조해 보세요. 최신판인데도 해시가 일치하지 않는다면 다운로드 과정에서 중간자 개입으로 파일이 변조되었을 수 있으니 네트워크나 브라우저를 바꿔 다시 받으세요.

상황 4: 스마트폰에서 "인증되지 않은 앱"이라는 경고가 뜸

Android 10 이상의 Play 프로텍트는 새로 설치되는 모든 APK에 대해 클라우드 스캔을 수행합니다. 공식 사이트에서 최신 버전을 다운로드한 경우, 가끔 Play 프로텍트 데이터베이스가 아직 업데이트되지 않아 오탐을 일으키기도 합니다. 이럴 때는:

• 24~48시간 후 Play 프로텍트가 업데이트되어 자동으로 경고가 해제될 때까지 기다리거나
• Play 프로텍트에서 해당 앱을 예외로 설정합니다.
• 주의: 오탐이라고 지레짐작하여 Play 프로텍트 경고를 무시해서는 안 됩니다. 만약 서명에도 문제가 발견되었다면 그것은 진짜 피싱입니다.

6. APK 검증 후의 '최초 실행 검사'

서명이 통과되었다고 모든 것이 끝난 것은 아니며, 앱을 처음 실행할 때의 동작을 확인해야 합니다:

1. 권한 요청: 공식 앱은 시작 화면에서 문자 메시지, 연락처, 사진첩 권한을 절대 요구하지 않습니다. 시작하자마자 이러한 권한을 요구한다면 피싱 앱입니다.
2. 시작 광고: 공식 앱에는 어떤 제3자 광고도 없습니다. 광고가 있다면 위조 앱입니다.
3. 로그인 화면: 로그인 시 URL이 accounts.binance.com을 가리켜야 하며 다른 도메인이어서는 안 됩니다.
4. 네트워크 요청: HTTP Canary 등 패킷 캡처 도구로 첫 실행 시 도메인을 확인해보면, 모두 *.binance.com 혹은 *.binancezh.co 등 공식 도메인이어야 합니다.

이 네 가지를 모두 통과해야만 앱을 안심하고 사용할 수 있습니다.

7. 안드로이드 사용자를 위한 다운로드 채널 우선순위

보안성을 기준으로 권장하는 다운로드 경로는 다음과 같습니다:

1. 공식 사이트 직접 다운로드 (binance.com/download) → 가장 권장
2. 바이낸스 소셜 미디어(공식 트위터)에서 푸시한 링크 → 예비용으로만 사용
3. Google Play 스토어 (해당 국가/지역에서 지원하는 경우) → 신뢰할 수 있으나 중국 본토 등 일부 지역에서는 불가
4. F-Droid, APKMirror 등 제3자 APK 저장소 → 비권장, 검증 절차가 있긴 하나 공식 배포처가 아님

QQ 그룹, 위챗(WeChat) 그룹, 텔레그램(Telegram) 그룹 등 메신저에서 공유되는 APK는 발송자가 "공식 버전이다"라고 아무리 자신만만하게 말해도 무조건 피싱으로 간주해야 합니다.

자주 묻는 질문

Q: APK 설치가 끝난 후에도 다시 한 번 검증할 수 있나요? A: 네. pm path com.binance.dev 명령어로 이미 설치된 APK의 경로를 찾아, 그 파일에 대해 apksigner를 실행하면 실제 스마트폰에 설치된 서명을 볼 수 있습니다. 이는 "설치 후에 파일이 덮어쓰기되는 것"을 막는 마지막 방어선입니다.

Q: 일정 기간 사용하던 앱도 다시 검증해야 하나요? A: 메이저 버전 업데이트 후 한 번씩 검사하는 것을 권장합니다. 공식 업데이트 시 APK 파일이 임시 폴더에 다운로드되는데, 이 과정에서 후킹(hook) 당할 위험이 아주 희박하게나마 존재하기 때문입니다.

Q: 샤오미/화웨이 등 맞춤형 안드로이드 OS가 서명 검증에 영향을 미치나요? A: 아니요. 서명 검증은 APK 파일 자체의 속성이며 운영체제와는 무관합니다. 시스템 단의 "앱 스토어 화이트리스트"는 별개의 검증 계층이며 서로 영향을 주지 않습니다.

Q: PC도 없고 서명 뷰어도 설치하지 않았다면 최소한 무엇을 할 수 있나요? A: 최소한 SHA-256 해시 대조라도 하세요. 많은 파일 관리자 앱(예: Solid Explorer)에는 해시 계산 기능이 내장되어 있습니다. 공식 공지와 비교하는 것은 가장 적은 비용으로 할 수 있는 안전 조치입니다.